Spodnje ranljivosti, povezane s funkcijo oddaljene KVM na postaji NVIDIA DGX, vključuje reševanje posebnih varnostnih vprašanj v krmilniku upravljanja baze (BMC) in zagotavljanje, da je vaš sistem posodobljen z najnovejšimi varnostnimi popravki. Tu je nekaj korakov in pomislekov, ki pomagajo ublažiti te ranljivosti:
1. Posodobite vdelano programsko opremo in programsko opremo **
Prepričajte se, da je vaša DGX Station A100 BMC posodobljena na najnovejšo različico vdelane programske opreme. NVIDIA je objavila posodobitve za obravnavo kritičnih ranljivosti, kot so CVE-2023-31029, CVE-2023-31030 in CVE-2023-31024, ki vplivajo na demon KVM v BMC [1] [2] [4]. Te posodobitve so ključne za preprečevanje prelivov v skladišču in korupcijo pomnilnika, kar bi lahko privedlo do poljubne izvedbe kode, zavrnitve storitve, razkritja informacij in posega v podatke.
2. Izvedite segmentacijo omrežja **
Omejitve dostopa do BMC z izvajanjem segmentacije omrežja. To vključuje izolacijo omrežja BMC iz preostale infrastrukture, da zmanjšate napadalno površino. Prepričajte se, da ima samo potrebno osebje dostop do omrežja BMC in uporablja požarne zidove, da omeji dohodni promet na BMC [1] [4].
3. Uporabite varne protokole **
Prepričajte se, da je ves oddaljeni dostop do KVM izveden s pomočjo varnih protokolov. To vključuje uporabo HTTPS za spletni dostop in SSH za dostop do ukazne vrstice. Izogibajte se uporabi negotovih protokolov, kot sta HTTP ali Telnet, saj lahko izpostavijo občutljive informacije [7].
4. Monitor za sumljive dejavnosti **
Redno spremljajte svoje sistemske dnevnike za vse sumljive dejavnosti. To vključuje spremljanje nenavadnih poskusov prijave, anomalij omrežnih paketov ali nepričakovanih sprememb v obnašanju sistema. Izvajanje sistema za odkrivanje vdorov (IDS) lahko pomaga prepoznati potencialne grožnje zgodaj [7].
5. Omejitveni privilegiji **
Prepričajte se, da imajo uporabniki, ki dostopajo do funkcije KVM, najmanj privilegij, potrebnih za opravljanje svojih nalog. Omejevanje privilegijev lahko zmanjša vpliv uspešnega izkoriščanja tako, da napadalcem prepreči stopnjevanje privilegijev ali dostop do občutljivih podatkov [7].
6. Uporabite dodatne varnostne ukrepe **
Razmislite o izvajanju dodatnih varnostnih ukrepov, kot je dvofaktorska overjanje (2FA) za ves oddaljeni dostop do BMC in KVM. To dodaja dodatno plast varnosti, s čimer otežuje dostop nepooblaščenim uporabnikom [7].
7. Redno pregledujte in posodabljate varnostne konfiguracije **
Redno pregledujte svoje varnostne konfiguracije, da zagotovite, da so posodobljene in usklajene z najboljšimi praksami. To vključuje preverjanje novih ranljivosti in takojšnje uporabe popravkov [4] [7].
Z upoštevanjem teh korakov lahko znatno zmanjšate tveganje, povezano z ranljivostmi v oddaljeni funkciji KVM na postaji DGX A100. Vedno poskrbite, da bo vaš sistem posodobljen z najnovejšimi varnostnimi popravki in da izvajate močne varnostne prakse za zaščito pred morebitnimi grožnjami.
Navedbe:
[1] https://nvidia.custhelp.com/app/answers/detail/a_id/5510/~/security-bulletin:-nvidia-dgx-a100--january-2024
[2] https://www.itnews.com.au/news/critical-bogs-patched-in-nvidia-ai-kit-604048
[3] https://www.redbooks.ibm.com/redpapers/pdfs/redp5688.pdf
[4] https://securityonline.info/urgent-firtware-alert-nvidia-tacles-critical-dgx-a100-h100-flaws/
[5] https://docs.nvidia.com/dgx/dgxa100-user-guide/quick-start.html
[6] https://cve.mitre.org/cgi-bin/cvekey.cgi
[7] https://ogma.in/cve-2023-25529-ITIGATING-VULNERABILITY-in-NVIDIA-DGX-BMC-SYSTEMS
[8] http://cdn.cnetcontent.com/2f/68/2f6888a0-063f-4d76-94e4-866b7619dfd.pdf
[9] https://github.com/advisories/ghsa-xj8c-vcc9-5mfq
[10] https://nvidia.custhelp.com/app/answers/detail/a_id/5513/~/security-bulletin:-nvidia-dgx-station-a100-in-dgx-Station-A800---FebrAy--FebrAy-2010-2014